BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen
Hilfsmittel für den Betrieb
Folgende Hilfsmittel werden für den Betrieb bereitgestellt:
- 6.1 Dokumentenrahmen für ein IDS-Betriebshandbuch
- 6.2 Übersicht über betriebsrelevante Prozesse und Aktivitäten
6.1 Dokumentenrahmen für ein IDS-Betriebshandbuch
Die im Betriebshandbuch aufgeführten Punkte können im Fall der Auslagerung des IDS an externe Betreiber durch Dienstgüte-Vereinbarungen (Service-Level-Agreements) referenziert werden.
Kapitel 1: Motivierende Einleitung
Die Zielsetzungen des IDS-Einsatzes sind managementorientiert und technikorientiert zu beschreiben. Die Verankerung des IDS-Einsatzes in den Sicherheitsstandards des Unternehmens (im Sinne einer "Policy") ist an dieser Stelle zu referenzieren bzw. zu zitieren.
Kapitel 2: Allgemeines
In diesem Abschnitt werden alle zum Dokument gehörenden "Metadaten" aufgeführt:
- die Einordnung des Dokuments in Bezug auf weitere Dokumente zum organisationsweiten IT-Sicherheitsmanagement,
- Stand und Versionsnummer des Dokuments, Bearbeiter, Versionshistorie,
- Verantwortlichkeiten für die Fortschreibung des Dokuments,
- Adressaten des Handbuchs: Sämtliche direkt oder indirekt am IDS-Einsatz und Betrieb beteiligte Organisationseinheiten, Institutionen oder Partner.
Kapitel 3: Beschreibung der Infrastruktur
Kapitel 3.1: Architektur des IDS
Der konkrete Aufbau des eingesetzten IDS, die Komponenten des IDS und ihr Einsatzzweck im IDS-Umfeld sind zu beschreiben:
- IDS-Management- und Auswertungsstation,
- IDS-Ereignisdatenbank,
- eingesetzte IDS-Sensoren und ihre Platzierungen,
- IDS-relevante Netzwerkkomponenten (Hubs, TAPs, Switches, Teilnetze),
- IDS-relevante sonstige Systeme.
(Die Beschreibung kann aus dem Feinkonzept übernommen werden).
Kapitel 3.2: Funktionsweise des IDS
Beschreibung der Gesamtfunktion des IDS sowie der Teilfunktionen der einzelnen IDS-Komponenten.
Kapitel 3.3: Ausstattungsmerkmale der IDS-Komponenten
Detailbeschreibung der einzelnen IDS-Komponenten (Namensgebung, IP-Adressen, Konfigurationsmerkmale)
Kapitel 4: Regelungen zur Inbetriebnahme der einzelnen IDS-Komponenten
Kapitel 4.1: Inbetriebnahme der Management- und Auswertungsstation(en)
Die Inbetriebnahme der eingesetzten Management- und Auswertungsstation(en) ist zu beschreiben. Dies umfasst
- Installationshinweise,
- Zuständigkeit für die Installation der Komponente und
- Zuständigkeit für die Abnahme der Komponente.
Kapitel 4.2: Inbetriebnahme der IDS-Ereignisdatenbank
Die Inbetriebnahme der eingesetzten Ereignisdatenbank ist zu beschreiben. Dies umfasst
- Installationshinweise,
- Zuständigkeiten für die Installation der Komponente und
- Zuständigkeiten für die Abnahme der Komponente
Kapitel 4.3: Inbetriebnahme der Netzsensoren
Für sämtliche Netzsensoren ist in separaten Abschnitten das Vorgehen ihrer Inbetriebnahme zu beschreiben. Dies umfasst
- Installationshinweise,
- Zuständigkeiten für die Installation des Netzsensors und
- Zuständigkeit für die Abnahme der Komponente.
Kapitel 4.4: Inbetriebnahme der Hostsensoren
Für sämtliche Hostsensoren ist in separaten Abschnitten das Vorgehen ihrer Inbetriebnahme zu beschreiben. Dies umfasst
- Installationshinweise,
- Zuständigkeiten für die Installation des Hostsensors,
- Zuständigkeit für die Abnahme des Hostsensors.
Kapitel 4.5: Anbindung sonstiger mit dem IDS in Zusammenhang stehender Systeme
Die Inbetriebnahme sonstiger, mit dem IDS in Zusammenhang stehender Systeme, wie z. B. Mailserver oder SMS-Gateway, ist zu beschreiben. Dies umfasst
- Installations- und Konfigurationshinweise,
- Zuständigkeiten für die Installation der Komponenten und
- Zuständigkeiten für die Abnahme der Komponenten.
Kapitel 5: Regelungen für den Betrieb der IDS-Komponenten
Kapitel 5.1: Hardwareservice und Systemwartung
- Wer (welche Organisationseinheit/Rolle) ist für den Hardwareservice und die Systemwartung verantwortlich?
- Durch wen werden die Arbeiten durchgeführt?
- In welchem zeitlichen Abstand sind die Arbeiten auszuführen?
- Welche Berechtigungen (Zutritt, Zugang, Administrationsrechte) gelten für die Ausführung der Arbeiten?
Kapitel 5.2: Monitoring
- Wer (welche Organisationseinheit/Rolle) ist für das IDS-Monitoring verantwortlich?
- Durch wen werden die Arbeiten durchgeführt?
- Zu welchen Zeiten soll das IDS-Monitoring durchgeführt werden? (7 x 24 Stunden?)
- Welche Berechtigungen (Zutritt, Zugang, Administrationsrechte) gelten für die Ausführung der Arbeiten?
Kapitel 5.3: Backup
- Wer (welche Organisationseinheit/Rolle) ist für das Backup des IDS verantwortlich?
- Durch wen werden die Arbeiten durchgeführt?
- In welchem zeitlichen Abstand sind die Arbeiten auszuführen?
- Welche Berechtigungen (Zutritt, Zugang, Administrationsrechte) gelten für die Ausführung der Arbeiten?
Kapitel 5.4: Präventive Dienste
Welche Arbeiten sind präventiv durchzuführen?
- Kalibrierung der IDS-Sensoren
- Beobachtung von Veränderungen an überwachten IT-Systemen und Netzen
- Regelmäßige Durchführung von Alarm- und Eskalationsübungen
- Wer (welche Organisationseinheit/Rolle) führt die jeweiligen Arbeiten durch?
- Wer ist für die Durchführung verantwortlich?
- In welchem zeitlichen Abstand sind die Arbeiten auszuführen?
Kapitel 5.5: Dokumentation
- Wer (welche Organisationseinheit/Rolle) ist für die Dokumentation des IDS verantwortlich?
- Durch wen werden die Arbeiten durchgeführt?
- In welchem zeitlichen Abstand ist die Dokumentation zu überprüfen und ggf. zu ergänzen?
Kapitel 5.6: Change Management
Was unterliegt dem Change Management des IDS?
- Berücksichtigung von Änderungen an überwachten IT-Systemen und Netzen,
- IDS-Signatur-Updates,
- IDS-Versions-Upgrades.
- Wer (welche Organisationseinheit/Rolle) ist für die Fortentwicklung des IDS verantwortlich?
In welchem zeitlichen Abstand ist die Notwendigkeit von Änderungen zu prüfen?
- IDS-Signatur-Updates,
- IDS-Versions-Upgrades.
- Durch wen werden die Arbeiten durchgeführt?
Kapitel 5.7: Administration des IDS
- Wer (welche Organisationseinheit/Rolle) ist für die Administration des IDS verantwortlich?
- Durch wen werden die Arbeiten durchgeführt?
- Zu welchen Zeiten soll die Administration des IDS erfolgen?
- Welche Berechtigungen (Zutritt, Zugang, Administrationsrechte) gelten für die Ausführung der Arbeiten?
Kapitel 6: Regelungen zur Behebung von Betriebsunterbrechungen
Kapitel 6.1: Störungsmanagement
In diesem Abschnitt werden Regelungen für den Fall einer Betriebsstörung des IDS (nicht Störungen der überwachten Systeme) dokumentiert:
- Verantwortlichkeit für das Management bei Störungen des IDS
- Regelung zur Meldung (Eskalation) bei Störungen des IDS
- Grobkriterien zur Ersteinschätzung der Schwere der Störung des IDS
Kapitel 6.2: Behebung von Funktionsstörungen (Recovery-Maßnahmen)
- Hinweise zur Störungsbeseitigung für die betreffende Komponente
- Hinweise zu Störungen, die in der Vergangenheit auftraten (Störfallszenarien) und Erfahrungsberichte
Kapitel 7: Richtlinien zur Nutzung des IDS
Kapitel 7.1: Benutzer-Rollen, Zugangs- und Zugriffsrechte
Kapitel 7.2: Verantwortung für Vergabe und Entzug von IDS-spezifischen Zugangs- und Zugriffsrechten
Anlage
In der Anlage sollten Detailinformationen, die sich in kurzen Zeitabständen ändern können (Telefonnummern, Rolleninhaber) aufgeführt werden. Hinzu kommen Informationen zu Organisationseinheiten und Systemstandorten sowie ein Literatur- und Abkürzungsverzeichnis.
6.2 Übersicht über betriebsrelevante Prozesse und Aktivitäten
Die nachfolgende Tabelle gibt eine Übersicht über die wesentlichen betriebsrelevanten Prozesse und Aktivitäten. Die einzelnen Ablaufschritte wurden im Rahmen der Beschreibung der Zuständigkeiten und Verantwortlichkeiten der Rollen in Anhang 5.1 erläutert.
Prozess/Aktivität | Ablaufschritte | Rolle | Ausführungszeitpunkt |
---|---|---|---|
Verfeinerung der IDS-Kalibrierung |
| IDS-Administration | Regelmäßig beim Auftreten von Ereignissen, die bislang nicht bewertet wurden |
Nachverfolgung von Ereignissen |
| IDS-Administration, ggf. unterstützt durch IDS-Incident-Response | Regelmäßig beim Auftreten von Ereignissen, für die eine "Protokollierung zur Nachverfolgung" erfolgt |
Reaktion auf IDS-Alarme |
| IDS-Monitoring | Bei IDS-Alarmierungen |
| IDS-Incident-Response | ||
| IDS-Administration | ||
Aktualisierung der Signaturen |
| IDS-Administration | Regelmäßig, sobald neue Signaturen verfügbar sind |
Aktualisierung der IDS-Software |
| IDS-Administration, Systemadministration | Falls Software-Patches oder neue IDS-Versionen verfügbar |
Begleitung der IT-Planung und IT-Entwicklung | IDS-Manager ist in IT-Planungs- und Entwicklungsprozesse einzubinden
| IDS-Manager | Regelmäßig, sobald konkrete Planungen vorliegen |
Anpassung des IDS |
| IDS-Manager | Änderungen der zu überwachenden IT-Infrastruktur |
| IDS-Administration, Systemadministration | ||
Datensicherung des IDS |
| IDS-Administration, Systemadministration | Regelmäßig, nach jeder wesentlichen Änderung bzw. Aktualisierung des IDS |
- Kurz-URL:
- https://www.bsi.bund.de/dok/6624138